最近的一项行业调查表明，将近75%的员工已经使用自有设备(BYOD：自携带设备)访问与工作相关的数据。 加上无线网络的蓬勃发展， 企业不得不面临用户如何细分，访客如何管理的具体问题，保证公司网络带宽的高效使用、员工生产效率的提高与减小数据泄漏的风险。

用户管理的终极目标就是做到对用户进行“Who r U(你是谁)”的查看与确定，由此而达到管理的透明与可视化。可视化意味着可灵活配置实施安全策略、流量以及应用控制;实现安全畅游的无线网络访问。

Fortinet的Secure WLAN的无线接入与安全解决方案中对用户实现管理的方法是基于FortiOS 5操作系统，也就是作为无线网络控制器AC的FortiGate设备使用的操作系统， 可实现对公司内用户进行细分并对来访宾客管理。

对于公司内部BYOD的用户，可实施基于以下方式的管理：

BYOD用户无线认证：

1、开放/WEP64/WEP128/共享。使用这个选项不需要认证和链路加密，“开放“选项只用在那些不关注安全的BYOD流量，或SSL、IPSec VPN 流量，这些在应用层安全通讯。

2、用户登录门户。登录门户(Captive portal)是Web认证的一项行业标准术语，这种模式BYOD用户类似上面的“开放“方式一样连接到无线AP，只是在BYOD用户打开Web浏览器之前不允许通讯。一旦Web浏览器被打开，所有的站点地址被网关拦截。只有通过认证后，BYOD才能访问网站资源。

3、WPA /WPA2 802.11i共享密钥。无线保护访问WPA是为了向后兼容，但所有用户都应该迁移到WPA2，因为它提供了更安全的加密数据。预共享密钥允许所有用户之间共享一个密码来连接到无线局域网。这种类型的安全性对来宾或家用访问无线是非常有用的，但企业应该给BYOD用户(包括员工和合作商)提供基于Radius的WPA2认证。

4、Radius后台服务器WPA / WPA2 802.11i认证。此模式下用户名和密码信息基于后台Radius服务器， 使用802.1X认证，这是BYOD用户无线部署最安全的认证方法，也是最佳实践。Radius认证引擎支持PAP、CHAP、MS-CHAP、MS-CHAP-v2。

YOD设备认证：

1、设备识别。当一个BYOD设备接入无线网络，FortiGate先进行设备识别，识别技术具有基于代理和无代理的方式。基于代理方式BYOD设备需要安装FortiClient，可以部署在任何位置，只要能够与FortiGate通讯即可。无代理方式可以采用TCP指纹或MAC地址厂商代码识别，需要“直接“连接到FortiGate。

2、访问控制。根据识别的BYOD设备类型，应用恰当的安全策略，对于传统的Windows AD环境具有更多的控制。不同的安全策略启用匹配的UTM安全配置表。

3、设备登录门户。在不同的BYOD设备策略中启用登录门户，通过HTTP通讯(HTTP User-Agent)强制检测设备，电子邮件收集门户，当电子邮件地址已经验证，该设备就添加到邮件收集的设备组。

使用上面的无线认证及设备管理方式保护用户员工BYOD设备的安全访问;对于访问公司无线网络的来宾用户，FortiOS 5 系统中还提供允许非IT员工创建来宾帐号，分配时间范围，生成临时密码，打印，发邮件或短信给来宾用户使用。

当然也可配合使用FortiAuthenticator 双因子验证系统，对安全级别更高的资源使用更严格的验证。

(责任编辑：)